编者按：通过防火墙等设备，我们可抵制外网的攻击，通过上网行为管理系统、策略路由等，我们可以对通过网关的应用及流量进行管理，但针对内网的终端设备，我们又将如何？

    【IT168 报道】在当前的网络管理中，往往重视的是外网入侵、攻击，以及通过网关的应用、流量的监控管理，而对于网络内的终端设备，却视而不见，而这种情况，又隐藏了种种隐患......(如果你对本文有其他看法或疑问，请致电010-96096168-179、tangchuan@it168.com)

    前不久，美国FBI对484 家公司调查显示。面对来自于单位内部的安全威胁，85％的安全损失是由单位内部原因造成的。对于很多单位来说，这可能有点耸人听闻，但却是事实。例如，通过USB闪存盘，重要的公司机密信息被有意或无意的对外传播；可能因为公司的内部网接入了一台外来的笔记本电脑，而让公司较为重要的信息泄露；往往因为某台电脑未安装系统补丁而中招，进而影响整个网络......

    问题终端是网络内鬼?

    以上所提及的，主要是围绕企业网络终端展开的。这并不是个别问题，而是一类现象，我们可以总结成以下几类比较明显的问题：

    非法主机的接入
    对与一个内部办公网络来说，非法主机的接入的防护是非常困难的，IP地址的使用混乱，不能有效的将IP地址进行管理控制。当有外来主机接入时，接入者只需要对内部网的IP地址进行探测，就可以轻松的连接到内部网络中，对内部办公网络造成严重的威胁。

    主机非法外联
    对于涉密网络来说，内部主机是不允许接入到Internet的，但是避免不了一些用户通过拨号的方式，或者其他的方式连接到外网，一旦此机器被攻击者控制，那么整个我们的内部网络将全部暴露。

    离线存储设备泄密管理
    离线存储设备防泄密管理主要集中各种移动存储设备、打印机等设备的防泄密管理，其中包括移动硬盘、移动U 盘、IDE 硬盘等传播方式。

    内部主机自身无防护
    往往，很多电脑终端的补丁不能及时进行更新，这就留给攻击者巨大的机会，他们可以利用系统自身的漏洞对系统发起攻击，盗取系统中重要的资料文件。

    一般来说，大多数安全产品都只是来自于外部的入侵。针对于来自外部的入侵，已经大量成熟的安全产品来防范，但是内部的安全威胁和隐患，却很少被注意到，或者已经注意到，却没有完善的安全产品和产品解决方案解决企业的内部安全问题。

    终端是防火墙、上网行为管理设备的管理盲点？
 
    上面所提及的几个问题似乎并不能通过单纯安装杀毒软件或防火墙等措施来解决。

    如今，很多企业利用防火墙等设备，在网络的边缘设置了快速有效的整体区域防护策略，可以对网络入侵进行监控和防护，抵御低阶通讯层次的攻击、防止主机及个人电脑的入侵、检测恶意的可执行程序和阻绝网络的滥用；并采用网络版杀毒软件部署在网络中每个终端上，针对病毒感染、病毒传播和病毒发作进行区域的病毒控制与清除。

    这种解决方案是针对外部入侵与病毒攻击的防范，对于机构内部信息保密安全管理却无任何作用。对于一个大型机构以往人为控制的教育加监督（人工填写日志）的安全管理方式是无法阻止内部工作人员运用现今的高科技信息载体主动或被动泄密的，这是每一个安全管理人员必须认真对待的问题。

    此外，现在流行的一种通过网关监控管理应用流量的上网行为管理设备，似乎也不能有效地控制终端设备。

    上网行为管理设备能够对电脑终端使用的上网行为进行监控，例如，使用者登录什么网站，通过公司的网关，外发主题贴、邮件，使用QQ、炒股软件等影响工作效率的应用程序等。

    我们需要注意的是，上网行为管理设备只能对终端使用者的上网行为进行管理，通过这个网关设备进行流量的监控，从而管理使用者的上网行为。如果终端使用者通过USB闪存盘copy数据，通过另置Modem上网时，上网行为管理设备就鞭长莫及了。

　　内网终端，就如同一个内鬼，平时我们不能发现，但他在关键的时候，却会起到很严重的后果，防火墙、上网行为管理设备对之没有办法，我们又该如何？

    安全边界：引入纵深管理体系

    在上面的讨论中，我们会发现，某一类网络安全设备所起到的安全管理作用是有一个作用域限制的。这就引出了一个安全边界的概念。这个概念猛地听上去好像很模糊，但是其实仔细一想就发现这个概念并不难理解。
 
    在网络安全管理方面的术语里，有一个名词叫做“安全域”，我们在进行网络安全管理的时候，第一步做的事情就是安全域的划分。这部分的工作就是我们把我们管理的网络按照应用，划分出不同的边界，定义出各自的安全领域。举个最简单的例子，我们在PC上安装了相关的杀毒软件，这就是一个最简单的安全域，这个安全域就是对用户需要的文件以及数据同病毒、木马等恶意程序之间的边界划分工作。

     对于一个单位来说，如何确定安全的边界？安全域应该怎样划分呢？传统的安全区域的划分可以分成两类：根据安全等级划分；根据资源位置划分。现在，我们重点根据资源位置划分来进行解释。

    根据资源位置划分的目标是将同一网络安全等级的资源，根据对企业的重要性、面临的外来攻击风险、内在的运行风险不同，划分成多个网络安全区域。

    首先，针对于不同的应用，进行不同的网络规划，进一步通过您的网络规划来制定相关的网络安全边界设置。举例来说，我们在制定安全管理策略的时候首先要把安全问题划分为内网安全和外网安全，然后再外网安全方面建设防火墙，建设隔离网栅等设备；在内网安全方面设置灾难备份，信息安全加密，审计系统等等。

    在这个例子中，首先把安全的大边界，内网和外网的边界进行划分，然后针对可能来自外网的安全威胁进行安全的保障。其次是要考虑内网的应用。在内网上有邮件的应用，那么有可能架设防垃圾邮件系统来确定合法邮件与非法邮件之间的边界，如果有涉密的电子版文件，那么需要有相关的信息保密系统来确定合法访问用户和非法访问用户之间的边界。

    此时，我们会发现，要管理内网终端，我们就得引入立体的网络管理体系，从而把内网终端、网关、网关外等几个节点都包括进去。

    内网终端管理，变被动为主动

    专门针对内网安全的管理，并不是没有办法。如今，从普通网络管理系统中，发展出了专门的内网安全管理系统。目前，从而这块的供应商主要包括国外的Landesk、Altirs，以及国内的圣博润等厂商。就当前而言，内网安全管理系统尚未形成统一而成熟的标准，但它已经能够有效地对终端进行管理。我们根据北京圣博润高新技术有限公司的自主知识产权产品LanSecS (莱恩赛克)内网安全管理系统详细介绍一下内网安全管理系统的功能。

    目前，网络监控审计产品均基于协议分析、注册表监控和文件监控等监控技术，能够在保证在内网发生安全事件后提供有效的证据，实现事后审计的目标，不能做到事前防范，从而不能从根本上实现提高内网的可控性和可管理性。而LanSecS内网安全管理系统将重点放在主动地（Actively）控制风险而不是被动地(Passively)响应事件，提高整个信息安全系统的有效性和可管理性。

    LanSecS内网安全管理系统提出一种叫做“控管”的管理概念，即通过一种可控的、可管的技术性手段对整个内网安全行为进行强制性管理。具体而言，就是不但要对是否打补丁、打的什么补丁、打的如何、什么时候打进行管理与控制，同时也对按照这个概念，通过基于主机的审计，还可以对误操作、非工作行为等一系列不符合安全或者企业管理的行为甚至从个人终端到全网运行状态进行严格监控、管理和控制。

    LanSecS内网安全管理系统从普通网络管理系统发展起来的，它能够提供强大的内网网络管理和维护功能，是系统管理员理想的安全故障管理系统。它能自动发现网络内所有网络设备（包括三层和二层设备），通过系统提供的智能学习功能，自动识别网络的物理拓扑结构，生成网络物理连接拓扑图。

　　LanSecS内网安全管理系统将所有的内网的主机进行认证，经过认证的主机，可以在内网中正常使用，没有经过认证的主机将被阻断。内网安全管理系统将维护一张内网的IP和MAC地址表，在地址表内的主机将在网络中正常运行，如果有非法机器接入，内网安全系统会自动发现，并将其阻断。

    此外，LanSecS(r)(莱恩赛克)内网安全管理系统提供了针对外围数据传输设备的监控审计能力。外围数据传输设备指的是USB设备等利用存储介质进行传输的设备，比如新挂接一块硬盘，使用USB存储器，软驱等，进行数据存储。

    这些外围数据传输设备，可以将病毒带入专网，也可导致信息泄密。针对外围数据传输设备的控制，一旦控制中心设定的规则不允许使用某个设备，即使本机超级用户也无法使用该设备。这种控制功能和系统内核进行了结合，一般是无法去掉的。如果用户安装了新的设备试图使用之，也是徒劳。

    内网安全管理系统还能够对红外设备的审计监控，并控制拨号的行为等。在这里，我们不再一一介绍，具体可参看相关产品的技术白皮书。

    内网安全管理系统能够有效地对内网终端的使用行为进行管理，这弥补了防火墙、上网行为管理设备等网关级产品的盲点，为我们有效地建立了立体网络管理体系。